Microsoft Defender for Endpoint评估实验室

重要

Microsoft Defender for Endpoint评估实验室已于 2024 年 1 月弃用

适用于:

希望体验 Microsoft Defender for Endpoint? 注册免费试用版

重要

随着 Microsoft 继续评估要提供的功能和服务的价值,Microsoft 已决定停用 Defender 评估实验室。 此更改将于 2024 年 1 月中旬推出,预计在 2024 年 1 月下旬完成。

进行全面的安全产品评估可能是一个复杂的过程,需要繁琐的环境和设备配置,然后才能实际完成端到端攻击模拟。 增加复杂性的是跟踪在评估期间反映模拟活动、警报和结果的挑战。

Microsoft Defender for Endpoint评估实验室旨在消除设备和环境配置的复杂性,以便你可以专注于评估平台的功能、运行模拟,以及查看操作中的预防、检测和修正功能。

借助简化的设置体验,可以专注于运行自己的测试方案和预制模拟,以了解 Defender for Endpoint 的性能。

你将拥有对平台的强大功能(如自动调查、高级搜寻和威胁分析)的完全访问权限,从而可以测试 Defender for Endpoint 提供的全面保护堆栈。

可以添加Windows 10、Windows 11、Windows Server 2019、Windows Server 2016和 Linux (Ubuntu) 预配置为安装最新操作系统版本和正确安全组件的设备以及 Office 2019 Standard。

还可以安装威胁模拟器。 Defender for Endpoint 与行业领先的威胁模拟平台合作,帮助你测试 Defender for Endpoint 功能,而无需离开门户。

安装首选的模拟器,在评估实验室中运行方案,并立即查看平台的性能 - 所有操作都很方便,无需额外费用。 还可以方便地访问各种模拟,可以从模拟目录访问和运行这些模拟。

开始之前

你需要满足许可要求,或者对Microsoft Defender for Endpoint具有试用访问权限才能访问评估实验室。

必须具有 “管理安全设置” 权限才能:

  • 创建实验室
  • 创建设备
  • 重置密码
  • 创建模拟

如果启用了基于角色的访问控制 (RBAC) 并至少创建了一个计算机组,则用户必须有权访问所有计算机组。

有关详细信息,请参阅 创建和管理角色

希望体验 Microsoft Defender for Endpoint? 注册免费试用版

实验室入门

可以从菜单访问实验室。 在导航菜单中,选择“ 评估和教程 > 评估实验室”。

注意

  • 根据所选环境结构的类型,设备将在激活当天起的指定小时数内可用。
  • 每个环境都预配了一组有限的测试设备。 使用完预配的设备并将其删除后,可以请求更多设备。
  • 可以每月请求一次实验室资源。

已有实验室? 请确保启用新的威胁模拟器并具有活动设备。

设置评估实验室

  1. 在导航窗格中,选择“ 评估 & 教程>评估实验室”,然后选择“ 设置实验室”。

    评估实验室欢迎页

  2. 根据评估需求,可以选择在较长时间内使用较少的设备设置环境,或者在较短时间内设置更多设备。 选择首选实验室配置,然后选择“ 下一步”。

    实验室配置选项

  3. (可选) 可以选择在实验室中安装威胁模拟器。

    安装模拟器代理页

    重要

    首先需要接受条款和信息共享声明并表示同意。

  4. 选择要使用的威胁模拟代理并输入详细信息。 还可以选择稍后安装威胁模拟器。 如果选择在实验室设置期间安装威胁模拟代理,则可以在添加的设备上方便地安装它们。

    摘要页

  5. 查看摘要并选择 “设置实验室”。

实验室设置过程完成后,可以添加设备并运行模拟。

添加设备

将设备添加到环境中时,Defender for Endpoint 会设置配置良好的设备,其中包含连接详细信息。 可以添加 Windows 10、Windows 11、Windows Server 2019、Windows Server 2016 和 Linux (Ubuntu) 。

设备将配置最新版本的 OS 和 Office 2019 Standard 以及其他应用(如 Java、Python 和 SysIntenals)。

如果选择在实验室设置期间添加威胁模拟器,则所有设备都将在添加的设备中安装威胁模拟器代理。

设备将自动载入租户,建议的 Windows 安全组件处于打开状态并处于审核模式,无需你付出任何努力。

以下安全组件在测试设备中预先配置:

注意

Microsoft Defender防病毒将处于 (不在审核模式) 。 如果Microsoft Defender防病毒阻止你运行模拟,可以通过Windows 安全中心关闭设备上的实时保护。 有关详细信息,请参阅 配置 Always-On 保护

自动调查设置将取决于租户设置。 默认情况下,它将配置为半自动化。 有关详细信息,请参阅 自动调查概述

注意

与测试设备的连接是使用 RDP 完成的。 确保防火墙设置允许 RDP 连接。

  1. 从仪表板,选择“添加设备”。

  2. 选择要添加的设备类型。 可以选择添加 Windows 10、Windows 11、Windows Server 2019、Windows Server 2016 和 Linux (Ubuntu) 。

    使用设备选项的实验室设置

    注意

    如果设备创建过程出现问题,系统会通知你,你需要提交新请求。 如果设备创建失败,则不会根据允许的总配额进行计数。

  3. 将显示连接详细信息。 选择“ 复制 ”以保存设备的密码。

    注意

    密码仅显示一次。 请务必保存它以供以后使用。

    添加了连接详细信息的设备

  4. 设备设置开始。 这最多可能需要 30 分钟。

  5. 通过选择“ 设备 ”选项卡,查看测试设备的状态、风险和暴露级别以及模拟器安装的状态。

    “设备”选项卡

    提示

    “模拟器状态 ”列中,可以将鼠标悬停在信息图标上,了解代理的安装状态。

添加域控制器

添加域控制器以跨多个设备运行复杂方案,例如横向移动和多阶段攻击。

注意

域支持仅在 Microsoft Defender 门户 (security.microsoft.com) 提供。

  1. 从仪表板,选择“添加设备”。

  2. 选择“ Windows Server 2019”,然后选择“ 设置为域控制器”。

  3. 预配域控制器后,可以通过单击“添加设备”来创建已加入域 的设备。 然后选择“Windows 10/Windows 11”,然后选择“加入域”。

注意

一次只能有一个域控制器处于活动状态。 只要有实时设备连接到域控制器设备,域控制器设备就会保持活动状态。

请求更多设备

使用和删除所有现有设备后,可以请求更多设备。 可以每月请求一次实验室资源。

  1. 从评估实验室仪表板,选择“请求更多设备”。

    “请求更多设备”选项

  2. 选择配置。

  3. 提交请求。

成功提交请求后,你将看到绿色确认横幅和上次提交的日期。

可以在“ 用户操作” 选项卡中找到请求的状态,该选项卡将在几小时内获得批准。

获得批准后,请求的设备将添加到实验室设置中,并且你将能够创建更多设备。

提示

若要从实验室中获取更多内容,请不要忘记检查模拟库。

模拟攻击方案

使用测试设备通过连接到它们来运行你自己的攻击模拟。

可以使用以下方法模拟攻击方案:

还可以使用 高级搜寻 来查询数据和 威胁分析 来查看有关新出现威胁的报告。

自行执行攻击方案

如果你正在寻找预制的模拟,可以使用我们的 “自行执行”攻击方案。 这些脚本安全、有记录且易于使用。 这些方案将反映 Defender for Endpoint 功能,并引导你完成调查体验。

注意

与测试设备的连接是使用 RDP 完成的。 确保防火墙设置允许 RDP 连接。

  1. 通过选择“ 连接”连接到设备并运行攻击模拟。

    测试设备的“连接”按钮

    远程桌面连接屏幕

    对于 Linux 设备:需要使用本地 SSH 客户端和提供的命令。

    注意

    如果在初始设置过程中没有保存密码的副本,可以通过从菜单中选择“ 重置密码 ”来重置密码:

    “重置密码”选项

    设备会将其状态更改为“正在执行密码重置”,然后在几分钟内向你显示新密码。

  2. 输入在设备创建步骤期间显示的密码。

    输入凭据的屏幕

  3. 在设备上运行“自行操作”攻击模拟。

威胁模拟器方案

如果选择在实验室设置期间安装任何受支持的威胁模拟器,则可以在评估实验室设备上运行内置模拟。

使用第三方平台运行威胁模拟是在实验室环境范围内评估Microsoft Defender for Endpoint功能的好方法。

注意

在运行模拟之前,请确保满足以下要求:

  • 必须将设备添加到评估实验室
  • 必须在评估实验室中安装威胁模拟器
  1. 在门户中选择“ 创建模拟”。

  2. 选择威胁模拟器。

    威胁模拟器选择

  3. 选择模拟或浏览模拟库,浏览可用模拟。

    可以从以下项访问模拟库:

    • 模拟概述磁贴中的main评估仪表板或
    • 从导航窗格“ 评估”和“>模拟 & 教程”导航,然后选择“ 模拟目录”。
  4. 选择要在其中运行模拟的设备。

  5. 选择“ 创建模拟”。

  6. 通过选择“模拟”选项卡查看 模拟 进度。查看模拟状态、活动警报和其他详细信息。

    “模拟”选项卡

运行模拟后,我们鼓励你浏览实验室进度栏并浏览触发自动调查和修正Microsoft Defender for Endpoint。 查看功能收集和分析的证据。

通过使用丰富的查询语言和原始遥测,通过高级搜寻来搜寻攻击证据,并检查威胁分析中记录的一些全球威胁。

Microsoft Defender for Endpoint与各种威胁模拟平台合作,让你能够方便地从门户内的 测试平台的功能。

从菜单中转到“模拟”和教程>“模拟目录”,查看所有可用的模拟。

列出了受支持的第三方威胁模拟代理的列表,目录中提供了特定类型的模拟以及详细说明。

可以直接从目录中方便地运行任何可用的模拟。

模拟目录

每个模拟都附带了攻击方案的深入说明和参考,例如使用的 MITRE 攻击技术以及运行的示例高级搜寻查询。

示例:

暂留方法的模拟说明详细信息窗格示例

APT29 的模拟说明详细信息

评估报告

实验室报告汇总了在设备上进行的模拟的结果。

评估报告

一目了然地看到:

  • 触发的事件
  • 生成的警报
  • 暴露级别的评估
  • 观察到的威胁类别
  • 检测源
  • 自动调查

提供反馈

你的反馈有助于我们更好地保护你的环境免受高级攻击。 从产品功能和评估结果中分享你的体验和印象。

选择“ 提供反馈”,告诉我们你的想法。

反馈页

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区